360资深安全专家胡星儒：国内APT攻击知多少_文章_赛迪网
360资深安全专家胡星儒：国内APT攻击知多少
发布时间： 11:07&&&&&&&&来源：中国网&&&&&&&&作者：中国网
9月29日下午，2015中国互联网安全大会(ISC)暨中国互联网安全领袖峰会在北京举行。其中在数据驱动安全之APT与新威胁论坛中，360核心安全事业部资深安全专家胡星儒详解APT攻击有哪几招，并对国内知名的APT攻击事件做了详细的盘点。　
图1：ISC2015之APT与新威胁论坛
首先，胡星儒对国内自主发现的APT事件进行了阐述，重点说了两个典型的事例，并且胡星儒把这两个典型事例出现的过程称为&意外之旅&。H组织是第一个典型事例，它从11年到15年持续了4年之久，针对中国和其他国家的政府科研等领域。
随后，胡星儒重点解析了另一个典型，该典型被称作B组织。B组织从07年开始至今，已经持续了8年，涉及了13种同源RAT种类，并且该组织只针对中国，目前已经涉及到31个省级行政区的政府及国防相关领域。
2007年12月，它首次被发现，针对了相关的海洋领域。
2008年，它采用一个可信的数字签名躲过扫描，针对了相关的科研领域。
2015年，它利用另一款不同的数据签名，且该签名合法，针对军工行业进行了攻击。
对H和B组织分析之后，胡星儒也分享了他的相关想法。他认为目前发现一个新的事件会有两种情况，一种就是事件完全是新的，从未发现过的。另一种则是基于已知的一些行动。从捕获到的它的一些新的攻击事件，结合相关事件和组织，可以分析出它们之间的交集。　
图2：APT与新威胁论坛现场
&我们再把它黑回去这块难度比较大&这是胡星儒分享的第二个想法。难度就在于网络攻击背后的幕后组织非常难以定性，甚至可以以假乱真，出现嫁祸、假情报这种情况，所以他认为抵抗APT应该进行相关资源的共享。不仅是民间以个人为主的样本交换，还要有厂商的样本交换。
演讲尾声，他提到周鸿祎在大会上说&在中美互联网安全大会上，面对新的安全威胁我们因此怎么做?&胡星儒在分论坛现场进行了回答&开放、合作!&
关键词阅读:
1(共条评论)
2(共条评论)
3(共条评论)
4(共条评论)
5(共条评论)
大计算的到来是信息技术不断进化的必然。高...
9月25日，第1车贷CEO郭超做客赛迪直播间，...
联系我们：
广告发布：
方案、案例展示：
京ICP000080号 网站-3
&&&&&&&&京公网安备45号大数据时代的“网络炸弹”：谈APT攻击的隐秘力量
大数据时代的&网络炸弹&：谈APT攻击的隐秘力量
【TechWeb报道】9月25日消息，在中国互联网安全大会（ISC2014）上，来自国家信息技术安全研究中心、特种技术检测处队长曹岳，以及360攻防实验室资深研究员刘健皓等安全专家，深度透析APT攻击，针对APT与国家间对抗、移动互联网中的APT攻击等内容发表主题演讲。
APT攻击的原理相对于其他攻击形式更为先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。
APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的&恶意商业间谍威胁&。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。
APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种&网络间谍&的行为。
2010年，Google的一名雇员点击即时消息中的一条恶意链接，引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月，并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标，它是由一个有组织的网络犯罪团体精心策划的，目的是长时间地渗入这些企业的网络并窃取数据。
此次APT攻击，首先寻找特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息，搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。
利用这个伪造的web服务器，攻击者伪造成这位google员工所信任的人，并向他发送了恶意链接。Google员工点击这个未知的网络链接，就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出，进而执行FTP下载程序，并从远端进一步抓了更多新的程序来执行下载。
攻击者通过SSL安全隧道与受害人机器建立了连接，持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。最后，攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息。
由以上的案列可以看出，APT攻击有极强的隐蔽性，对此可这样理解，APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合，在组织内部，这样的融合很难被发现。例如，对google的APT攻击中，攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器，该Google员工收到来自信任的人发来的网络链接并且点击它，就进入了恶意网站。
此外，APT攻击是一种很有耐心的攻击形式，攻击和威胁可能在用户环境中存在一年以上，他们不断收集用户信息，直到收集到重要情报。他们往往不是为了在短时间内获利，而是把&被控主机&当成跳板，持续搜索，直到充分掌握目标对象的使用行为。所以这种攻击模式，本质上是一种&恶意商业间谍威胁&，因此具有很长的潜伏期和持续性。
纵观整个APT攻击过程发现，有几个步骤是APT攻击实施的关键，包括攻击者通过恶意代码对员工个人电脑进行单点攻击突破、攻击者的内部横向渗透、通过构建的控制通道获取攻击者指令，以及最后的敏感数据外传等过程。当前的APT攻击检测和防御方案其实都是围绕这些步骤展开。
例如，恶意代码检测类方案主要覆盖APT攻击过程中的单点攻击突破阶段，它是检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都是通过恶意代码来攻击员工个人电脑，从而来突破目标网络和系统防御措施的，因此，恶意代码检测对于检测和防御APT攻击至关重要。
而主机应用保护类方案主要覆盖APT攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码，这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此，如果能够加强系统内各主机节点的安全措施，确保员工个人电脑以及服务器的安全，则可以有效防御APT攻击。
目前，随着信息化和智能化的发展，APT攻击目标也呈现多元化趋势，涉及汽车、电器、家居等诸多行业。更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。（然雨）
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
相关的资讯有：
相关的博文有：
之前TechWeb曾报道过一加5将于6月15日在深圳召开新品发布会，发布最新旗舰一加5，不过...
老罗之前在斗鱼直播中辟谣了之前网友所说的高温龟裂问题，但这种情况并不能百分之百避...
按照魅族一年一更新Pro高端旗舰手机的节奏，今年的Pro 7应该马上就会发布了。近日博主...
因东芝拍卖芯片业务，西部数据与东芝发生摩擦。本周四，西部数据表示公司正在申请仲裁...
据路透社北京时间6月2日报道，两名知情人士透露，欧盟委员会计划在今年暑假前因购物服...
比特币交易平台火币网恢复比特币、莱特币提现。5月31日晚，数字货币交易平台OKCoin币...
调查机构NetMarketShare送出的最新统计显示，Windows 10的市场份额依然在增长，其市占...
Adobe今天发布了一款将纸质文档转换为可编辑PDF的产品名叫“Scan”，而且，完全免费。...
苹果今天宣布其 iPad 编程代码学习应用 Swift Playgrounds 将会在下周的 WWDC 上迎来...
日前，电影《神奇女侠》主演、好莱坞巨星盖尔·加朵（Gal Gadot）游戏代言海报露出，......
游戏实名制后，众多游戏产品的用户年龄结构也随之曝光。近期《少年三国志》官方公布了......
王者荣耀新英雄鬼谷子即将推出，为此官网制作了楚汉之地专题，其中出现的英雄中只有鬼......
夜雾迷城活动2月22日5:00—2月28日23:59，本次活动新增套装黎明之冠新月之吻，下面为......
Copyright (C)
All rights reserved.
请选择一张图片分享
要转发到新浪微博，请
要转发到QQ空间，请360资深安全专家胡星儒：国内APT攻击知多少
　　9月29日下午，2015互联网安全大会（ISC）暨中国互联网安全领袖峰会在北京举行。其中在数据驱动安全之APT与新威胁论坛中，360核心安全事业部资深安全专家胡星儒详解APT攻击有哪几招，并对国内知名的APT攻击事件做了详细的盘点。
ISC2015之APT与新威胁论坛
　　首先，胡星儒对国内自主发现的APT事件进行了阐述，重点说了两个典型的事例，并且胡星儒把这两个典型事例出现的过程称为&意外之旅&。H组织是第一个典型事例，它从11年到15年持续了4年之久，针对中国和其他国家的政府科研等领域。
　　随后，胡星儒重点解析了另一个典型，该典型被称作B组织。B组织从07年开始至今，已经持续了8年，涉及了13种同源RAT种类，并且该组织只针对中国，目前已经涉及到31个省级行政区的政府及国防相关领域。
　　2007年12月，它首次被发现，针对了相关的海洋领域。
　　2008年，它采用一个可信的数字签名躲过扫描，针对了相关的科研领域。
　　2015年，它利用另一款不同的数据签名，且该签名合法，针对军工行业进行了攻击。
　　对H和B组织分析之后，胡星儒也分享了他的相关想法。他认为目前发现一个新的事件会有两种情况，一种就是事件完全是新的，从未发现过的。另一种则是基于已知的一些行动。从捕获到的它的一些新的攻击事件，结合相关事件和组织，可以分析出它们之间的交集。
APT与新威胁论坛现场
　　&我们再把它黑回去这块难度比较大&这是胡星儒分享的第二个想法。难度就在于网络攻击背后的幕后组织非常难以定性，甚至可以以假乱真，出现嫁祸、假情报这种情况，所以他认为抵抗APT应该进行相关资源的共享。不仅是民间以个人为主的样本交换，还要有厂商的样本交换。
　　演讲尾声，他提到周鸿祎在大会上说&在中美互联网安全大会上，面对新的安全威胁我们因此怎么做？&胡星儒在分论坛现场进行了回答&开放、合作！&
责编：梁爽
环球时报系产品
扫描关注环球网官方微信
扫描关注 这里是美国微信公众号
扫描关注更多环球微信公众号apt_黑客技术
记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华
努力让思考适配年代
在中国网络安全的发展中，2016年云集着众多的里程碑节点——习近平总书记在4.19网信工作会议上发表重要讲话；网络安全法正式通过，强调全面加强关键基础设施防御；十三五规划提出“自主先进”的全新要求…..一个未来清晰的地平线在远方展开。对中国网安从业者来说，如果说此前十余年的摸索前进，更像是一个为这个“大时代”而积蓄力量的过程的话，2016年则已经将新时代大幕正式开启。无论对“乐观坚持者”，抑或“悲观放弃者”，还是“临时转型者”来说，这个时代都真实的到来了。
在这个大背景下，安天一直坚持的年度规定动作“安天基础威胁年报”和“安天移动威胁年报”的正式发布日期被一推再推，移动威胁年报直至3月10日才发布。而基础威胁年报的发布距离我们在今年1月的安天第四届网络安全冬训营上，向营员分发预发布版已经过
发布时间: |
阅读:8798 | 评论:0 |
1 序言　　安天从2005年开始，每年年初公布年报，对上一年度网络威胁状况进行总结，对威胁演进趋势做出预测。早期安天威胁年报以后台病毒样本捕获分析系统的数据统计为主要支撑。而后我们放弃了罗列数据的风格，走向观点型年报，并分成“基础威胁年报”和“移动安全年报”发布。安天移动安全团队在本次年度移动安全报告中继续以观点的方式来组织内容，用威胁的概念表达归纳安全事态的现象和趋势，并新增“反思”和“应对”两个版块，探寻观点和现象背后的原因，提出应对建议。我们希望通过这份年度报告，向移动安全行业从业者、移动互联网相关企业以及大众用户分享和传达我们的所见、所为及所思。同时这也是安天“移动安全年报”第一次先于“基础威胁年报”公开，本年度的安天“基础威胁年报”承载了更多相对系统而沉重的思考，历经了多个版本的修改，将稍后发布。　　
发布时间: |
阅读:41532 | 评论:0 |
首都人民在飘雪哆嗦的日子里
仍然坚挺地哼唱着南山南
以解心头之寒
沙龙已然到大美江西
办沙龙啦！！
沙龙在哪儿
会议时间：日 13:30-19:30
会议地点：午夜烧货（九江八里湖北大道欧洲风情街）
承办单位：墨眉科技
协办单位：神舟测评/热璞科技
特别支持：唯品会安全应急响应中心
出题背景：王松_Striker说，来江西站沙龙的人必须是CTF战神！小编有点不信，于是让他给出了个CTF，听说能解出来都可以跟他提个要求？？
出题目的：邀请圈内白帽一战，虐王松_Striker一把！
题目内容：挑战CTF的同学复制—/game/ctfindex进入页面开战！最终拿到flag的同学才有资格参与本次沙龙活动哦！
沙龙牛人议题
发布时间: |
阅读:27805 | 评论:0 |
美国网络安全公司Forcepoint 近期发布了一篇报告，该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式，在受害者计算机中植入了定制的AndroRAT，意图窃取敏感信息和资料。Forcepoint研究人员认为该组织与BITTER相关，而且可能还不止发起了这一起攻击事件。BITTER攻击始于2013年11月，且多年来一直未被检测到，目前攻击者背景尚未明确。相关APP信息包括提供关于印度和巴基斯坦之间的争议地区新闻的Kashmir News等。
基于360拥有的大数据资源，我们针对该事件进行了进一步分析，我们发现中国地区也遭受到了相关攻击的影响，受影响单位主要是涉及政府、电力和工业相关单位，该组织至今依然处于活跃状态。截至目前我们已捕获
发布时间: |
阅读:11689 | 评论:0 |
美国网络安全公司Forcepoint近期发布了一篇报告，该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式，在受害者计算机中植入了定制的AndroRAT，意图窃取敏感信息和资料。Forcepoint研究人员认为该组织与BITTER相关，而且可能还不止发起了这一起攻击事件。BITTER攻击始于2013年11月，且多年来一直未被检测到，目前攻击者背景尚未明确。相关APP信息包括提供关于印度和巴基斯坦之间的争议地区新闻的Kashmir News等。
基于360拥有的大数据资源，我们针对该事件进行了进一步分析，我们发现中国地区也遭受到了相关攻击的影响，受影响单位主要是涉及政府、电力和工业相关单位，该组织至今依然处于活跃状态。截至目前我们已捕
发布时间: |
阅读:29497 | 评论:0 |
LOKI是一款APT入侵痕迹扫描软件，以入侵威胁指标(IOC)和黑客工具特征为对象，发现入侵事件和痕迹，其内置的指标特征来自公开发布的事件报告、取证分析和恶意样本等。LOKI由德国信息安全公司Bsk-Consulting开发。LOKI GitHub：/Neo23x0/LokiLOKI支持以下四种检测模式：*匹配文件路径和文件名的IOC检测*匹配文件数据和进程内存的YARA恶意软件规则检测*匹配已知恶意软件的MD5 /SHA1/SHA256哈希值检测*匹配C&C终端连接的网络检测其它方式检测：*进程异常检测（基于sysforensics)*SWF压缩文件检测*SAM转储检测*Regin木马文件检测（使用命令 -reginfs)运行：（1）克隆LOK
发布时间: |
阅读:9545 | 评论:0 |
0X01 Jsonp hijacking作用
这是一种基于水坑攻击的攻击方式，用于大规模的获取用户信息，因为可以绕过同源策略的限制而展开，所以其威力巨大，尤其是在一些大型网站的接口处，用此方法可以盗取已登陆用户的敏感信息从而进行进一步的攻击。
0x02 劫持原理
在说原理之前，首先需要了解js中callback函数的作用，callback是js中的回调函数，这个函数的用处在于它自己是个函数，但是他会将自己作为参数传给另一个函数，并且在父函数执行完成之后再执行。
借用这个原理，我们来试试跨域加载数据：
这是人人网的一个接口，用于显示用户信息
在没登陆的时候，可以看到图中的信息，提示未登陆用户。然后我们本地构造劫持代码，建立evil.html文件。
注意到我在url中添加了参数callback=run，这样就会
发布时间: |
阅读:8748 | 评论:0 |
2016年8月，Forcepoint 发布了一个APT攻击的追踪报告。该报告由Forcepoint安全实验室特别调查小组长期独立追踪完成。该调查小组隶属于Forcepoint安全实验室，由优秀的恶意软件逆向工程师和分析师组成，其职责是专门深入研究僵尸网络和APT攻击。他们与全球众多值得信赖的机构协作，以提供切实可见的决策为宗旨，向大众、客户以及合作伙伴等利益相关者传递相关信息，针对网络安全问题，警醒全球用户。
诱饵文档标题组成的词云
Forcepoint安全实验特别小组这次发布的APT攻击跟踪报告被命名为MONSOON。 调查表明，这些攻击活动主要针对中国的各个行业，以及南亚地区的一些国家政府机构。MONSOON从2015年12月开始发起攻击，截至2016年7月攻击活动仍在持续。在调查MONSOON过程中所收
发布时间: |
阅读:10440 | 评论:0 |
“索伦之眼” “摩诃草” “人面狮” “美人鱼” “洋葱狗” “海莲花”这些看似优美的名字背后实则暗藏汹涌的威胁。2016年8月，赛门铁克披露了一个针对俄罗斯、中国等国家发动高级攻击的APT组织Sauron（“索伦之眼”），又称Strider。随后，卡巴斯基也发布报告，针对该组织披露了更多详细的分析资料。经比对分析，确认该组织与360威胁情报中心的360追日团队独立截获的境外APT组织APT-C-16为同一组织。就在一周前，360追日团队还披露了针对中国的南亚APT组织“摩诃草”。自2015年以来，360威胁情报中心已先后截获并跟踪了众多APT组织，并披露其中6个：海莲花、洋葱狗、美人鱼、人面狮、摩诃草、索伦之眼。这些组织的主要攻击目标分布在科研教育、政府机构、军事、基础设施领域，以及包括水利、海洋等重点行业。
发布时间: |
阅读:10642 | 评论:0 |
披露申明本报告中出现的IOC（Indicators of Compromise，威胁指标），进一步包括涉及到相关攻击事件的样本文件MD5等哈希值、域名、IP、URL、邮箱等威胁情报信息，由于其相关信息的敏感性和特殊性，所以在本报告中暂不对外披露，在报告中呈现的相关内容（文字、图片等）均通过打码隐藏处理。*若您对本报告的内容感兴趣，需要了解报告相关细节或相关IOC，可与360追日团队通过电子邮件进行联系，另外我们目前只提供电子邮件联系方式：，敬请谅解！一、概述摩诃草组织（APT-C-09），又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外APT组织，该组织已持续活跃了7
发布时间: |
阅读:13942 | 评论:0 |
一、概述人面狮行动是活跃在中东地区的网络间谍活动，主要目标可能涉及到埃及和以色列等国家的不同组织，目的是窃取目标敏感数据信息。活跃时间主要集中在2014年6月到2015年11月期间，相关攻击活动最早可以追溯到2011年12月。主要采用利用社交网络进行水坑攻击，截止到目前我总共捕获到恶意代码样本314个，C&C域名7个。人面狮样本将主程序进行伪装成文档诱导用户点击，然后释放一系列的dll，根据功能分为9个插件模块，通过注册资源管理器插件的方式来实现核心dll自启动，然后由核心dll根据配置文件进行远程dll注入，将其他功能dll模块注入的对应的进程中，所以程序运行的时候是没有主程序的。用户被感染后比较难以发现，且使用多种加密方式干扰分析，根据PDB路径可以看出使用了持续集成工具，从侧面反映了项目比较庞大，
发布时间: |
阅读:10753 | 评论:0 |
一、概述1.盗版软件用户和“APT攻击”我国电脑用户当中，使用盗版软件是非常普遍的现象，从盗版的Windows系统到各种收费软件的“破解版”等等。互联网上也充斥着各种帮助用户使用盗版的“激活工具”、“破解工具”，投其所好地帮助用户使用盗版软件。但是“天下没有白吃的午餐”，除了一部分破解爱好者提供的无害的免费激活工具之外，病毒制造者也瞄准了盗版人群，他们利用提供激活工具的机会，将恶性病毒植入用户电脑。前段时间爆发的“小马激活病毒”为例，其以系统激活工具的身份为掩护，利用其“入场”时间早的天然优势，在用户电脑上屏蔽安全软件、肆意劫持流量，危害极大。同理，许多病毒制造者病毒用PE工具箱、系统激活工具等形式进行包装，不但加快了病毒的传播速度，也加强了其隐蔽性，从而躲避安全软件的查杀。提到APT，很
发布时间: |
阅读:215675 | 评论:0 |
一、概述美人鱼行动是境外APT组织主要针对政府机构的攻击活动，持续时间长达6年的网络间谍活动，已经证实有针对丹麦外交部的攻击。相关攻击行动最早可以追溯到2010年4月，最近一次攻击是在2016年1月。截至目前我们总共捕获到恶意代码样本284个，C&C域名35个。2015年6月，我们首次注意到美人鱼行动中涉及的恶意代码，并展开关联分析。虽然我们暂时无法判断其载荷投递的方式和攻击针对目标和领域，但通过大数据关联分析我们已经确定相关攻击行动最早可以追溯到2010年4月，以及关联出上百个恶意样本文件，另外我们怀疑载荷投递采用了水坑攻击的方式，进一步结合恶意代码中诱饵文件的内容和其他情报数据，我们初步判定这是一次以窃取敏感信息为目的的针对性攻击，且目标熟悉英语或波斯语。2016年1月，丹麦国
发布时间: |
阅读:9160 | 评论:0 |
各位同学：安全牛在线技术讲座第八期，开课啦！本次我们邀请到了东巽科技（国内专注于APT攻防的安全厂商）安服工程师——正切（军师），带来主题为《从Web安全到APT》的分享。讲座内容脉络：学习经历：从门外汉到入门，我是如何走上渗透的不归路；Web安全剖析：Web弱点、攻击方法、攻击工具介绍；Web漏洞top 10 案例分析：通过案例剖析10大Web漏洞及利用方式；如何从Web入手进行APT攻击：一系列可能方法的介绍；现阶段的APT防御手段及其优缺点：黑白名单、沙箱、杀伤链、失陷检测；APT防护理念：攻防对抗的本质是“人与人的对抗”。&个人简介正切（军师），安全团队inn0team核心成员、网络攻防技术爱好者，现任东巽科技安服工程师。&广告时段安全牛在线直播技术讲座，至今已举办七期，由于演讲质
发布时间: |
阅读:9628 | 评论:0 |
APT攻击与防护，没有想象的那么简单，这是一场漫长的对决，关乎未来，以及未来的未来。去年乌克兰电网被网络攻击致大范围断电的事件影响还未消退，土耳其5000万条公民数据和43G叙利亚政府数据的曝光再次让网络安全成为世界关注的焦点。这一系列的网络攻击事件被业内归纳为APT事件，到底什么是APT呢？ 看不见的战场 看不见的战争APT(Advanced Persistent Threat) 高持续性威胁，这个专业名词的源于10年Google退华事件中“极光攻击”这一安全事件，各国安全专家对这类攻击持续热议后总结而得。名词看着很新鲜，专业解释是指专门针对特定组织所实施的空前复杂且多方位的高级渗透攻击，也有很多人喜欢用我们中国的老话“不怕贼偷就怕贼惦记”来解释APT，但千万注意别把APT这个贼局限在网络攻击。在“海陆空天网
发布时间: |
阅读:13515 | 评论:0 |
独立测试机构AV-TEST研究所报告指出，每天出现的新恶意软件变种大约在39万个左右。杀软巨头赛门铁克则称此数字应该是100万个左右，而且这些都是尚未记录在案的新型恶意软件。即使我们选择相信较小数字的估测，情况也是不容乐观的。尤其是这些新恶意软件指的是高级持续性威胁（APT）的时候。APT是病毒和恶意软件最复杂的变种，我们今日所用的很多网络安全技术完全检测不出。甚至安全专家都告诉公司企业，不用考虑攻击是否成功，因为那是一定的，只需要准备好应对攻击成功之后的事态就行。过去几年中，我们见证了多种不同检测技术的进化演变。最先是签名技术，通过将未识别代码与已知恶意软件进行对比来检测。时至今日，每天都有百万个新恶意软件变种涌入互联网，这种技术早已过时是毋庸置疑的。接下来出现的，是启发式检测技术，基于代码中的行为特征来识别
发布时间: |
阅读:14994 | 评论:0 |
?微信扫一扫,快速掌握黑客技术?APT攻击到底有多恐怖？美国联邦调查局高官是这样看的|APT攻击|黑客入侵|网络安全_新浪科技_新浪网
APT攻击到底有多恐怖？美国联邦调查局高官是这样看的
　　——大型企业分两种：一种知道已被黑客入侵，一种还不知道已被黑客入侵
　　美国联邦调查局某高官曾经说过： “世界上只有两种大型企业，一种是知道已经被黑客入侵的企业，另一种则是被入侵却浑然不知的企业。”
　　有人感觉，“高官”的言论未免太过极端，但不可争议的是，近几年APT攻击愈演愈烈。数据统计，仅2014年全球就有超过80000家公司遭遇网络攻击，其中只有2122家公司被迫公开承认，全球500强公司大面积沦陷，攻击范围涉及全球60多个国家和地区，由此可见，该高官的表述并不过分。
　　面对狡猾且技艺高超的黑客，由防火墙、入侵检测、防病毒系统组成“三大件”似乎失去了作用。以APT攻击为代表的高级新型攻击，正在毫无顾忌的冲破企业安全防线，他们悄悄潜伏，伺机窃取机密数据丢失或是破坏生产系统。那么，APT攻击为何难以发现？企业用户只能束手待毙吗？
　　APT 攻击平均“ 559”天才被发现
　　亚信安全对大量 APT攻击案件进行了系统调查，统计结果出乎意料，企业用户平均经过 559天才会发觉自己正在遭遇攻击。此外，亚信安全还发现，APT攻击导致的核心数据泄密会对大型企业造成极为负面的影响，这不仅会造成知识产权的流失，这将在技术、业务、市场、客户等方面发生连锁反应。对于上市企业，APT事件一旦被公布，必然会直接影响企业股价，导致企业资产瞬间缩水。
　　一般来说，传统的木马病毒攻击采用的是 “广撒网”的方式，他们更加在意这张“网”的范围有多大，而很少在意哪些具体的鱼会被捕上来。与传统的网络威胁不同，APT攻击十分狡猾，彻底颠覆了我们对木马病毒、黑客攻击的认识。
　　针对APT攻击的特点，亚信安全产品总监、APT治理专家白日表示：“黑客从一开始就选定了明确的攻击对象和攻击目标，并为此进行长期的人力和物力的投入。攻击者追求的是攻击成功率，而不是攻击范围的扩大。一旦确定目标，‘专注’的黑客会采用一些极为个性化、针对强的攻击手法。这些攻击手法，以及他们所采用的攻击代码，有时只会使用一次，但这种攻击却是持续而影响深远的。”
　　如何抓住狐狸的尾巴？
　　黑客发动APT攻击，往往会精心选择隐匿行踪的技巧，通过有组织的行动将攻击分散开来，以躲避查杀。此外，黑客一旦进入到企业内部网络，多数会采用深度潜伏的方式。这些特点，让我们很难发现遭遇APT攻击，但狡猾的狐狸终究会露出尾巴。
　　要抓狐狸，就要了解它的习性。APT攻击共有6个阶段，这包括：情报收集、单点突破、命令与控制（C&C 通信）、横向移动、资产/资料发掘、资料窃取。在一些受雇佣的黑客队伍中，常常分工明确，不同阶段甚至会有不同的黑客负责完成。这虽然增加了企业防御APT攻击的难度，但如果熟悉每个阶段的攻击特征，就可以做到有的放矢。例如：亚信安全发现，在APT“单点突破”阶段，有91%的目标攻击是利用电子邮件作为切入点。此外，有78%的针对性电子邮件会内含附件引诱用户点击。
　　针对APT的有效治理，白日表示：“发现APT攻击者在企业内部的藏身之处有一定的难度，但不是说企业就束手无策。企业用户要实现APT攻击的有效治理，最佳方案就是根据这6个阶段建立一一对应的抑制点。不仅需要在‘单点突破’这个阶段利用沙箱技术发现恶意代码，发现‘横向移动’阶段中的黑客扫描流量也很重要。”
　　沿用传统设备的“单兵作战”势必无法与黑客团体抗衡。为此，亚信安全推出了以监控为中心，以侦测、分析、响应、阻止为治理过程，以“深度威胁发现平台”为核心的完整而有效的APT治理整体解决方案。亚信安全深度威胁发现平台Deep Discovery包括：深度威胁发现设备TDA、深度威胁分析设备DDAN、深度威胁安全网关Deep Edge、深度威胁邮件网关DDEI、服务器深度安全防护系统 Deep Security，以及能够实现本地和云端威胁情报共享的统一联动控制管理中心TMCM和高级威胁调查取证服务DI。
　　APT攻击“简化版”—— 勒索软件
　　如今，很多政府机构和全球化企业在安全控管上都投入了巨大的人力和物力，但是APT攻击仍然渗透进这些组织，并且，许多黑客团体将这种进攻方案变得更加“简单粗暴”。
　　对于APT攻击的发展，白日认为：“一种非常简易的APT攻击已经开始大规模泛滥，这就是加密勒索软件。它具备APT攻击第2个阶段的典型特征，即利用社交工程邮件突破企业边界防护，进而控制企业的终端和服务器，最终获取并加密核心数据，恐吓勒索用户。所以说，表面看起来只是企业员工感染了勒索软件，但其实还是笼罩在APT攻击之下。因此，亚信安全的APT治理战略同样也适用于勒索软件攻击。”
让用户感觉到能够安心打到车，享受更优质的出行服务，这才是一个...
可折叠屏幕手机是竞争未来市场的利器。
在智能手机市场创新陷入瓶颈的当下，只要哪家厂商能够拿出具有创...}